Am 31. Oktober 202X erlitt Garden Finance eine erhebliche Sicherheitsverletzung, die zum Diebstahl von 10,8 Millionen Dollar über mehrere Blockchains führte. Ein erheblicher Teil dieser gestohlenen Gelder, insbesondere 6,65 Millionen Dollar, wurde anschließend durch den Privacy Mixer Tornado Cash geschleust, was die Aufmerksamkeit auf die Verbindung Garden Finance Exploit Tornado Cash lenkte und Bedenken hinsichtlich der Rückverfolgbarkeit von Geldern und der DeFi-Sicherheit aufwarf.
Aufschlüsselung des Garden Finance Breach
Die Garden Finance Plattform wurde am 31. Oktober 202X Opfer eines erheblichen Exploits, der zum unrechtmäßigen Abfluss von etwa 10,8 Millionen Dollar an digitalen Vermögenswerten führte. Dieser Multi-Chain-Angriff betraf Gelder, die in prominenten Netzwerken wie Arbitrum, Ethereum und Solana gehalten wurden. Der Blockchain-Ermittler ZachXBT war einer der ersten, der diese unbefugten Abhebungen identifizierte und den Vorfall ans Licht brachte.
Nach dem Breach bot das Garden Finance Team dem Angreifer ein 10%iges White-Hat-Kopfgeld an, eine gängige Praxis im Krypto-Bereich in der Hoffnung auf die Rückgabe der Gelder. Dieses Angebot blieb jedoch unbeantwortet, und stattdessen begann der Täter mit der Wäsche der gestohlenen Vermögenswerte über Privacy Protokolle, was eine klare Absicht signalisierte, seine Spuren zu verwischen.
Verfolgung gestohlener Kryptowährungen: Die Garden Finance Exploit Tornado Cash Pipeline
Das Sicherheitsunternehmen CertiK verfolgte akribisch die Bewegung der entwendeten Gelder und bestätigte, dass tatsächlich 6,65 Millionen Dollar der gestohlenen Kryptowährung an Tornado Cash überwiesen wurden. Diese Summe beinhaltete eine beträchtliche Menge von 501 BNB und 1.910 ETH, die absichtlich über den Mixer geleitet wurden, um ihren Ursprung und ihr Ziel zu anonymisieren. Während ein großer Teil gewaschen wurde, befinden sich Berichten zufolge noch etwa 910.000 Dollar an gestohlenen Vermögenswerten in der Adresse eines Angreifers, was einen Hoffnungsschimmer auf eine mögliche Rückforderung bietet, wenn auch gering.
Widersprüchliche Darstellungen: Die Haltung des Teams im Vergleich zur On-Chain-Realität
Nach dem Exploit veröffentlichte Jaz Gulati, Mitbegründer von Garden Finance, am 5. November 202X ein Update, in dem er erklärte, dass der Breach ausschließlich auf die Web2-Infrastruktur eines Drittanbieters abzielte. Gulati erklärte ausdrücklich: “Es waren keine Benutzergelder oder Protokollverträge betroffen” und bekräftigte, dass “Alle Systeme unter Fehlerbedingungen wie vorgesehen funktionierten.” Das Team skizzierte anschließend Pläne für die operative Wiederherstellung, verbesserte Solver-Sicherheit und die Integration zusätzlicher unabhängiger Solver, um die Redundanz zu erhöhen.
Diese Darstellung wurde jedoch schnell durch On-Chain-Beweise in Frage gestellt. ZachXBT teilte überzeugende Screenshots einer On-Chain-Nachricht, die von einer Garden Deployer-Adresse stammte und direkt an den Angreifer gerichtet war. Diese Nachricht widersprach der öffentlichen Erklärung auf eklatante Weise und räumte unmissverständlich ein: “Unsere Systeme wurden über mehrere Blockchains hinweg kompromittiert.” Diese eklatante Inkonsistenz zwischen der öffentlichen Zusicherung des Teams und der überprüfbaren On-Chain-Kommunikation warf ernsthafte Fragen nach dem wahren Ausmaß des Breach und der Transparenz der Protokollkommunikation auf.
Ein Muster der Kontroverse: Frühere Anschuldigungen und zukünftige Auswirkungen
Die Garden Finance Exploit Tornado Cash Saga wird durch bereits bestehende Vorwürfe gegen die Plattform weiter verkompliziert. Vor dem jüngsten Sicherheitsvorfall hatte der Blockchain-Ermittler ZachXBT Garden Finance der Geldwäsche beschuldigt. Er behauptete, dass über 25 % der operativen Aktivitäten von Garden mit gewaschenen Geldern aus großen Hacks in Verbindung standen, darunter ein bemerkenswerter 1,4 Milliarden Dollar Bybit Breach.
Eine weitere Ebene zu dieser komplexen Erzählung fügt hinzu, dass Garden Finance von ehemaligen Ren Protocol Entwicklern entwickelt wurde. Ren Protocol selbst hatte eine Vorgeschichte von über 540 Millionen Dollar an illegalen Geldern, bevor es von großen Börsen delisted wurde, was einen langen Schatten auf seinen Nachfolger wirft. Ermittler haben sogar spekuliert, dass die berüchtigte, mit der DVRK in Verbindung stehende Hackergruppe “Dangerous Password” den Garden-Angriff inszeniert haben könnte, was die ausgeklügelten und anhaltenden Bedrohungen verdeutlicht, denen DeFi-Protokolle ausgesetzt sind. Da nun Millionen über ein Privacy Protokoll verschleiert werden, erscheinen die Aussichten auf eine Rückforderung von Geldern äußerst gering, was die Notwendigkeit robuster Sicherheitsmaßnahmen und sorgfältiger Due Diligence in der sich ständig weiterentwickelnden DeFi-Landschaft unterstreicht. Für diejenigen, die sich in diesen komplexen Märkten zurechtfinden und Sicherheitstrends überwachen möchten, bieten Tools wie cryptoview.io wertvolle Einblicke.
